Este tópico é apenas um exemplo. Ele explica como conseguir um certificado TLS da
autoridade de certificação (CA, na sigla em inglês) Let's Encrypt (em inglês).
Essas etapas são fornecidas principalmente como um exemplo a ser seguido se você não
tiver outra maneira pronta de obter um par de certificado/chave
autorizado por uma CA. No exemplo, mostramos como gerar certificados
usando a CA Let's Encrypt, o
cliente Certbot e o Cloud DNS do Google Cloud Platform.
Onde usar esses certificados
É preciso fornecer certificados TLS para gateways de entrada do ambiente de execução exposto fora do cluster.
Você precisará de um nome de domínio proveniente de um registrador de nomes de domínio. É possível registrar um nome de domínio por meio
do Google Domains ou outro registro de domínios da sua escolha.
Configurar o Cloud DNS
Para conseguir os certificados TLS autorizados, é necessário ter um nome de domínio qualificado. As etapas a seguir
explicam como usar o Google Cloud DNS para
conseguir um nome de domínio e gerenciar seus servidores de domínio.
Selecione o projeto em que a Apigee híbrida está instalada.
Se você ainda não tiver feito isso, ative a API Cloud DNS. Consulte
Como ativar APIs.
Crie um endereço IP estático:
Se você estiver no GKE, siga as instruções em
Configurar endereços IP externo estáticos para criar um endereço IP estático que os processos externos
possam usar para se comunicar com a entrada de ambiente de execução híbrido. Você pode dar o nome que quiser ao
nome, por exemplo: apigee-hybrid-runtime. Quando terminar, você usará o número
do IP na configuração do cluster na próxima etapa. Por exemplo: 34.66.75.196
Crie um conjunto de registros para o endpoint de entrada do Istio do ambiente de execução. Esse é o endereço para fazer
chamadas de API para o gateway híbrido. Insira o IP externo que você recebeu na etapa anterior
e adicione um prefixo ao nome do domínio, como example-endpoint. Para mais instruções, consulte
Criar um novo registro.
Nome do DNS: o nome das chamadas de API externas do endpoint que se comunicarão, como
api-services ou example-endpoint
Tipo de registro de recurso: A
TTL e Unidade TTL: aceitar padrões
IP Addhook: o IP estático que você criou.
A visualização Detalhes da zona listará quatro servidores DNS como os dados NS da nova
zona. Copie os dados do registro DNS, conforme mostrado no exemplo a seguir:
Retorne à página do seu domínio no registrador, por exemplo, o Google
Domains.
Selecione seu domínio.
Selecione DNS.
Na seção "Servidores de nomes", clique em Editar.
Insira os servidores de nomes de domínio que você copiou da página Serviços de rede do
Cloud DNS. Por exemplo:
Agora o Google Cloud DNS gerenciará os registros DNS do seu domínio.
Instalar o Certbot em uma VM
Agora que o Cloud DNS está configurado para gerenciar os servidores de domínio, instale o
cliente Certbot com o
plug-in dns_google em uma VM do Cloud. O cliente permite
que você receba certificados autorizados para seu domínio a partir de um endpoint Let's Encrypt.
Selecione IAM e administrador > Contas de serviço.
A visualização "Contas de serviço" exibe uma lista das contas de serviço do projeto.
Para criar uma nova conta de serviço, clique em +Criar conta de serviço na parte superior
da visualização.
A visualização Detalhes da conta de serviço é exibida.
No campo Nome da conta de serviço, insira o nome da conta de serviço.
Se quiser, adicione uma descrição no campo Descrição da conta de
serviço. As descrições são úteis para lembrar você sobre como uma conta de serviço específica
é usada.
Clique em Criar.
O Google Cloud cria uma nova conta de serviço e exibe a visualização de permissões
da conta de serviço. Use essa visualização para atribuir um papel à sua nova conta de serviço.
Clique na lista suspensa Selecionar um papel.
Selecione o papel Proprietário do projeto.
Clique em Continuar.
Clique em Concluído.
No Console do Google Cloud, selecione Compute Engine > Instâncias de VM.
Crie uma instância de VM chamada certmanager.
Na seção "Disco de inicialização", escolha CentOS7 e 20 GB para a
unidade permanente SSD.
Defina a conta de serviço como a que você criou acima.
Instale o Certbot e o plug-in dns_google
na máquina e execute o cliente do Certbot:
...
envs:
- name: test
serviceAccountPaths:
synchronizer: "your_keypath/synchronizer-manager-service-account.json
udca: "your_keypath/analytic-agent-service-account.json
virtualhosts:
- name: my-env-group
tlsMode: SIMPLE # Note: SIMPLE is the default, MUTUAL is also an available value.
sslSecret: myorg-test-policy-secret"
...
Aplique mudanças na configuração de envs:
Execute o upgrade do helm para cada ambiente que você quer atualizar.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-21 UTC."],[[["\u003cp\u003eThis guide demonstrates how to obtain a TLS certificate from Let's Encrypt using Certbot and Google Cloud Platform's Cloud DNS, which is essential for production environments requiring signed certificates.\u003c/p\u003e\n"],["\u003cp\u003eA domain name is required, and the instructions detail how to configure Google Cloud DNS to manage your domain servers and create necessary DNS records.\u003c/p\u003e\n"],["\u003cp\u003eThe process involves setting up a static IP address within your environment, either GKE or Google Distributed Cloud, and then creating a record set for the runtime Istio ingress endpoint.\u003c/p\u003e\n"],["\u003cp\u003eCertbot and its dns_google plugin are installed on a Cloud VM to facilitate the acquisition of authorized certificates from Let's Encrypt, with instructions on creating a service account and setting up a virtual machine.\u003c/p\u003e\n"],["\u003cp\u003eAfter obtaining the certificate and key, you will need to update your configuration to point to the certificate and private key, and the guide presents both options, either using the certificate and private key files directly, or by making use of a Kubernetes secret.\u003c/p\u003e\n"]]],[],null,["# Obtain TLS certificates: An example\n\n| You are currently viewing version 1.12 of the Apigee hybrid documentation. **This version is end of life.** You should upgrade to a newer version. For more information, see [Supported versions](/apigee/docs/hybrid/supported-platforms#supported-versions).\n\n\nThis topic is intended as an example only. It explains how to obtain a TLS certificate from\nthe certificate authority (CA) [Let's Encrypt](https://letsencrypt.org).\nThese steps are provided primarily as an example to follow if you do not have\nanother ready way to obtain a certificate/key\npair that is authorized by a CA. The example shows how to generate certificates\nusing the [Let's Encrypt](https://letsencrypt.org) CA, the\n[Certbot client](https://certbot.eff.org/pages/about), and Google Cloud Platform [Cloud DNS](https://cloud.google.com/dns/docs/).\n| **Note:** See also this [Apigee Community article](https://community.apigee.com/articles/86322/free-trusted-ssl-certificates-for-apigee-hybrid-in.html) on using Let's Encrypt with Apigee hybrid.\n\nWhere you can use these certificates\n------------------------------------\n\n\nYou must provide TLS certificates for Runtime ingress gateways exposed outside the cluster.\n| **Note:** In a test or eval environment, you can use a self-signed certificate/key pair or authorized TLS certificates. However, in a production environment, you will need to use signed certificates. You can use either a certificate/key pair or a Kubernetes secret.\nSee also [External connections](/apigee/docs/hybrid/v1.12/ports#external).\n\nRequirements\n------------\n\nYou will need a domain name obtained through a domain name registrar. You can register a domain name through\nGoogle Domains or another domain registrar of your choice.\n\nConfigure Cloud DNS\n-------------------\n\nTo obtain authorized TLS certificates, you must have a qualified domain name. The following steps explain how to use [Google Cloud DNS](https://cloud.google.com/dns/) to obtain a domain name and manage your domain servers.\n\n1. Open the [Google Cloud console](https://console.cloud.google.com) and log into your account.\n2. Select the project where Apigee hybrid is installed.\n3. If you have not already done so, enable the **Cloud DNS API** . See [Enabling APIs](https://cloud.google.com/apis/docs/getting-started#enabling_apis).\n4. Create a static IP address:\n - If you are on GKE, follow the instructions in [Configure static external IP addresses](/compute/docs/ip-addresses/configure-static-external-ip-address) to create a static IP addresses that external processes can use to communicate with the hybrid runtime ingress. You can give the address any name you wish, for example: `apigee-hybrid-runtime`. When you finish, you will use the IP number in the cluster configuration in the next step. For example: `34.66.75.196`\n - If you are on Google Distributed Cloud, follow instructions in the [Plan IP addresses](/kubernetes-engine/distributed-cloud/vmware/docs/how-to/plan-ip-addresses) and [Create a user cluster](/kubernetes-engine/distributed-cloud/vmware/docs/how-to/create-user-cluster) to create a static IP address.\n5. Get the External IP you just reserved.\n6. Create a record set for the runtime Istio ingress endpoint. This is the address for making API calls to the hybrid gateway. Enter the External IP you obtained in the previous step and add a prefix to the domain name, such as `example-endpoint`. For instructions, see [Create a new record](https://cloud.google.com/dns/docs/set-up-dns-records-domain-name#create_a_new_record).\n 1. Create a managed public zone. For instructions, see [Create a managed public zone](https://cloud.google.com/dns/docs/set-up-dns-records-domain-name#create_a_managed_public_zone).\n 2. Create a new record set with:\n - **DNS Name** : The name of the endpoint external API calls will communicate with, like `\n api-services` or `example-endpoint`\n - **Resource Record Type** : **A**\n - **TTL** and **TTL Unit**: Accept defaults\n - **IP Adddress**: The static IP you created.\n7. The **Zone details** view will list four DNS servers as the NS data for your new zone. Copy the DNS record data, as shown in the following example:\n\n8. Return to your domain page at your registrar (for example, [Google\n Domains](https://domains.google.com)).\n9. Select your domain.\n10. Select **DNS**.\n11. In the Name Servers section, click **Edit**.\n12. Enter the domain name servers that you copied from the Network Services Cloud DNS\n page. For example:\n\n\nNow, your Google Cloud DNS will manage the DNS records for your domain.\n\nInstall Certbot on a VM\n-----------------------\n\n\nNow that you have Cloud DNS set up to manage your domain servers, you will install the\nCertbot client with the\n[dns_google](https://certbot-dns-google.readthedocs.io/en/stable/) plugin on a Cloud VM. The client enables\nyou to get authorized certificates for your domain from a Let's Encrypt endpoint.\n\n1. Open the [Google Cloud console](https://console.cloud.google.com) and log in with the account you created in [Step 1: Create a Google Cloud account](/apigee/docs/hybrid/v1.12/precog-gcpaccount).\n2. Select the project that you created in [Step 2: Create a Google Cloud project](/apigee/docs/hybrid/v1.12/precog-gcpproject).\n3. Select **IAM \\& admin \\\u003e Service accounts** .\n\n The **Service accounts view** displays a list of the project's service accounts.\n4. To create a new service account, click **+Create Service Account** at the top of the view.\n\n The **Service account details** view displays.\n5. In the **Service account name** field, enter the name of the service account.\n\n You can optionally add a description in the **Service account description**\n field. Descriptions are helpful at reminding you what a particular service account is used\n for.\n6. Click **Create** .\n\n Google Cloud creates a new service account and displays the **Service account\n permissions** view. Use this view to assign a role to your new service account.\n7. Click the **Select a role** drop-down list.\n8. Select the **Project Owner** role.\n9. Click **Continue**.\n10. Click **Done**.\n11. In the Google Cloud console, select **Compute Engine \\\u003e VM Instances**.\n12. Create a VM instance named **certmanager**.\n13. Under the Boot Disk section, choose CentOS7 and 20 GB for the SSD persistent drive.\n14. Set the Service Account to the one you created above.\n15. Install Certbot and the [dns_google](https://certbot-dns-google.readthedocs.io/en/stable/) plugin on the machine and run the Certbot client: \n\n sudo su -\n yum -y install yum-utils\n yum install certbot -y\n yum install certbot-dns-google -y\n certbot certonly --dns-google -d *.\u003cvar translate=\"no\"\u003eyour_domain_name\u003c/var\u003e,*.\u003cvar translate=\"no\"\u003eyour_domain_name\u003c/var\u003e --server https://acme-v02.api.letsencrypt.org/directory\n \n\n For example: \n\n sudo su -\n yum -y install yum-utils\n yum install certbot -y\n yum install certbot-dns-google -y\n certbot certonly --dns-google -d *.apigee-hybrid-docs.net,*.apigee-hybrid-docs.net --server https://acme-v02.api.letsencrypt.org/directory\n\n16. You can now find your authorized certificate and private key files in this directory: `cd /etc/letsencrypt/live/`\u003cvar translate=\"no\"\u003eyour_domain_name\u003c/var\u003e`/`\n\n\n For example: \n\n cd /etc/letsencrypt/live/apigee-hybrid-docs.net\n ls\n cert.pem chain.pem fullchain.pem privkey.key README\n\n17. Copy the files `fullchain.pem` and `privkey.key` to your local machine.\n18. *Optional* : Create a Kubernetes secret with the certificate/key pair. See the instructions in [Option 2: Kubernetes Secret](/apigee/docs/hybrid/v1.12/ingress-tls#option-2:-kubernetes-secret) in [Configuring TLS and mTLS on the Istio ingress](/apigee/docs/hybrid/v1.12/ingress-tls).\n19. Update your overrides file to point to the certificate and private key.\n For example:\n\n ```scdoc\n ...\n envs:\n - name: test\n serviceAccountPaths:\n synchronizer: \"your_keypath/synchronizer-manager-service-account.json\n udca: \"your_keypath/analytic-agent-service-account.json\n\n virtualhosts:\n - name: my-env-group\n sslCertPath: \"$HOME/hybrid/apigee-hybrid-setup/tls/fullchain.pem\"\n sslKeyPath: \"$HOME/hybrid/apigee-hybrid-setup/tls/privkey.key\"\n ```\n\n\n Or if using Kubernetes secrets: \n\n ```scdoc\n ...\n envs:\n - name: test\n serviceAccountPaths:\n synchronizer: \"your_keypath/synchronizer-manager-service-account.json\n udca: \"your_keypath/analytic-agent-service-account.json\n\n virtualhosts:\n - name: my-env-group\n tlsMode: SIMPLE # Note: SIMPLE is the default, MUTUAL is also an available value.\n sslSecret: myorg-test-policy-secret\"\n\n ... \n ```\n20. Apply changes to the `envs` configuration:\n\n Run helm upgrade for each environment you want to update. \n\n ```\n helm upgrade ENV_NAME apigee-env/ \\\n --namespace apigee \\\n --set env=ENV_NAME \\\n --atomic \\\n -f OVERRIDES_FILE.yaml\n ```\n | **Note:** If you see an error saying `Error: UPGRADE FAILED: \"`*ENV_NAME*`\" has no deployed releases`, replace `upgrade` with `install` and try the command again.\n\nTest the configuration\n----------------------\n\n21. Deploy and test a proxy. See [Build your first API proxy overview](/apigee/docs/api-platform/get-started/get-started)."]]